El cargador de malware conocido como Cargador de menta se ha utilizado para entregar un troyano de acceso remoto basado en PowerShell llamado Ghostweaver.
«MintsLoader opera a través de una cadena de infecciones de varias etapas que involucra a los scripts de JavaScript y PowerShell de Ofuscated», dijo el grupo Insikt de Future en un informe compartido con Hacker News.
«El malware emplea técnicas de evasión de máquinas Sandbox y virtuales, un algoritmo de generación de dominio (DGA) y comunicaciones de comando y control (C2) basadas en HTTP».
Phishing and Drive-by Descargar campañas que distribuyen MintsLoader se han detectado en la naturaleza desde principios de 2023, según Orange CyberDefense. Se ha observado que el cargador ofrece varias cargas útiles de seguimiento como STEALC y una versión modificada del cliente Berkeley Open Infrastructure for Network Computing (BOINC).
El malware también ha sido utilizado por los actores de amenaza que operan servicios de delitos electrónicos como Socgholish (también conocido como FakeUpdates) y Landupdate808 (también conocido como TAG-124), distribuyendo a través de correos electrónicos de phishing dirigidos a los sectores industriales, legales y energéticos y las indicaciones de actualización de los navegadores falsos.
En un giro notable, las ondas de ataque recientes han empleado la táctica de ingeniería social cada vez más frecuente llamada ClickFix para engañar a los visitantes del sitio para que copiaran y ejecutar el código malicioso de JavaScript y PowerShell. Los enlaces a las páginas de ClickFix se distribuyen a través de correos electrónicos de spam.
«Aunque MintsLoader funciona únicamente como un cargador sin capacidades complementarias, sus fortalezas principales se encuentran en sus técnicas de evasión de Sandbox y Máquina virtual y una implementación de DGA que deriva el dominio C2 en función del día en que se ejecute», dijo Future registrado.
Estas características, junto con técnicas de ofuscación, permiten a los actores de amenaza obstaculizar el análisis y complicar los esfuerzos de detección. La responsabilidad principal del malware es descargar la carga útil de la próxima etapa de un dominio DGA sobre HTTP por medio de un script de PowerShell.
Ghostweaver, según un informe de TRAC Labs a principios de este febrero, está diseñado para mantener una comunicación persistente con su servidor C2, generar dominios DGA basados en un algoritmo de semilla fija basado en el número de semana y año, y entregar cargas útiles adicionales en forma de complementos que pueden robar datos del navegador y manipular el contenido de HTML.
«En particular, Ghostweaver puede implementar MintsLoader como una carga útil adicional a través de su comando sendplugin. La comunicación entre Ghostweaver y su servidor de comando y control (C2) se asegura a través del cifrado TLS utilizando una autenticada de la autenticación de la autodenominación, la autodenominada, se registra directamente dentro del script de PowerShell.
La divulgación se produce cuando Kroll reveló los intentos hechos por los actores de amenaza para asegurar el acceso inicial a través de una campaña en curso con nombre en código ClearFake que aprovecha ClickFix para atraer a las víctimas a ejecutar comandos MSHTA que finalmente desplegaron el malware del robador Lumma.